2018年要考虑的12大云安全威胁

导语

如今,云计算不断改变组织使用、存储和共享数据、应用程序和工作负载的方式。但也带来了一系列新的安全威胁和挑战。随着大量数据进入云端,尤其是进入公共云服务,这些资源成为网络犯罪分子的首要目标。

调研机构 Gartner公司副总裁兼云计算安全负责人Jay Heiser说:“公共云的应用正在快速增长,因此不可避免地会导致出现更多的潜在风险敏感内容。”

与许多人认为的相反,保护云端中的企业数据的主要责任不在于云计算服务提供商,而在于云客户。Heiser说:“我们正处在一个云计算安全过渡期,重点正从供应商转向客户。很多企业花费大量时间来确定某个特定的云服务提供商是否安全,但几乎没有什么结果,因为在于其自身。”

为了让企业了解云安全问题,以便他们能够就云采用策略做出明智的决策,云计算安全联盟(CSA)发布了最新版本的“云计算的12大威胁:行业见解报告。”

这个报告反映了云计算安全联盟安全专家当前就云计算中最重要的安全问题达成的共识。这份报告指出,尽管云端存在许多安全问题,但企业主要关注的是云计算的共享和按需特性。为了确定人们最关心的问题,云计算安全联盟对行业专家进行了调查,就云计算中最严重的安全问题汇总编写了一些专业的意见和建议。以下是人们面临的12个最重要的云安全问题(按照调查结果的严重程度排列):

1

数据泄露

云计算安全联盟表示,数据泄露是具有针对性攻击的主要目标,也可能是人为错误、应用程序漏洞或安全措施不佳的结果。它可能涉及任何不适合公开发布的信息,包括个人健康信息、财务信息、个人可识别信息、商业秘密和知识产权。由于不同的原因,组织基于云端的数据可能对某些组织具有更大的价值。数据泄露的风险并不是云计算独有的情况,但它始终是云计算用户的首要考虑因素。

2

身份、凭证和访问管理不善

云计算安全联盟表示,网络犯罪分子伪装成合法用户、运营人员或开发人员可以读取、修改和删除数据,获取控制平台和管理功能,在用户传输数据的过程中进行窥探,发布似乎来源于合法来源的恶意软件。因此,身份不足、凭证或密钥管理不善可能导致未经授权的数据访问,并可能对组织或最终用户造成灾难性的损害。

3

不安全的接口和应用程序编程接口(API)

云计算提供商提供了一组客户使用的软件用户界面(UI)或API来管理和与云服务交互。云计算安全联盟称,其配置、管理和监控都是通过这些接口来执行的,通常情况下,云服务的安全性和可用性取决于API的安全性。他们需要进行设计以防止意外和恶意的企图。

4

系统漏洞

系统漏洞是攻击者可以用来侵入系统窃取数据、控制系统或破坏服务操作的程序中可利用的漏洞。云计算安全联盟表示,操作系统组件中的漏洞使得所有服务和数据的安全性都面临重大风险。随着云端出现多租户,来自不同组织的系统彼此靠近,并且允许访问共享内存和资源,从而创建新的攻击面。

5

账户劫持

云计算安全联盟指出,账户或服务劫持并不是什么新鲜事物,但云服务为这一景观增添了新的威胁。如果攻击者获得对用户凭证的访问权限,他们可以窃听活动和交易,操纵数据,返回伪造的信息并将客户重定向到非法的站点。账户或服务实例可能成为攻击者的新基础。由于凭证被盗,攻击者经常可以访问云计算服务的关键区域,从而危及这些服务的机密性、完整性、可用性。

6

怀有恶意的内部人士

云计算安全联盟表示,虽然有些威胁的严重程度是有争议的,但内部威胁是一个真正的威胁。怀有恶意的内部人员(如系统管理员)可以访问潜在的敏感信息,可以更多地访问更重要的系统,并最终访问数据。仅依靠云服务提供商提供安全措施的系统将面临更大的风险。

7

高级持续性威胁(APT)

高级持续性威胁(APT)是一种寄生的网络攻击形式,它渗透到目标公司IT基础设施建立立足点的系统,从中窃取数据。高级持续性威胁(APT)在很长一段时间内逐步达到目标,经常能够适应抵御它们的安全措施。一旦部署到位,高级持续性威胁(APT)可以通过数据中心网络横向移动,并与正常的网络流量融合,达到他们的目的。

8

数据丢失

云计算安全联盟表示,存储在云端的数据可能因恶意攻击以外的原因而丢失。云计算服务提供商遭遇意外删除、火灾或地震等物理灾难可能导致客户数据的永久丢失,云计算提供商或客户应当采取适当的措施来备份数据,遵循业务连续性的最佳实践,实现灾难恢复。

9

尽职调查不足

云计算安全联盟表示,企业当高管制定业务战略时,必须对云计算技术和服务提供商进行考量。在评估云计算技术和提供商时,制定一个良好的路线图和尽职调查清单对于获得最大的成功至关重要。而急于采用云计算技术并选择提供商没有执行尽职调查的组织将面临诸多风险。

10

滥用和恶意使用云服务

云计算安全联盟指出,安全性差的云服务部署,免费的云服务试用,以及通过支付工具欺诈进行的欺诈性账户登录将云计算模式暴露在恶意攻击之下。攻击者可能会利用云计算资源来定位用户、组织或其他云计算提供商。滥用云端资源的例子包括启动分布式拒绝服务攻击、垃圾邮件和网络钓鱼攻击。

11

拒绝服务(DoS)

拒绝服务(DoS)攻击旨在防止服务的用户访问其数据或应用程序。可以通过强制目标云服务消耗过多的有限系统资源,如处理器能力,内存,磁盘空间或网络带宽,攻击者可能会导致系统速度下降,并使所有合法的用户无法访问服务。

12

共享的技术漏洞

云计算安全联盟指出,云计算服务提供商通过共享基础架构,平台或应用程序来扩展其服务。云技术将“即服务”产品划分为多个产品,而不会大幅改变现成的硬件/软件(有时以牺牲安全性为代价)。构成支持云教育处服务部署的底层组件可能并未设计成为多租户架构或多客户应用程序提供强大的隔离属性。这可能会导致共享的技术漏洞,可能在所有交付模式中被攻击者利用。

原文发布于微信公众号 - 云计算D1net(D1Net02)

原文发表时间:2017-12-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

2018年要考虑的12大云安全威胁

导语 如今,云计算不断改变组织使用、存储和共享数据、应用程序和工作负载的方式。但也带来了一系列新的安全威胁和挑战。随着大量数据进入云端,尤其是进入公共云服务,这...

2127
来自专栏云计算D1net

云计算时代如何保护自己的数据

随着越来越多的组织采用云计算,内部部署数据中心的时代将会逐渐终结。从小规模企业到规模最大的跨国公司,无论在哪里,都可以看到云计算应用程序。云计算服务的使用量每年...

1170
来自专栏安恒信息

直击黑帽大会第一天:HTTPS再爆风险,安卓系统欺骗认证严重性史无前例

一年一度的BlackHat大会于北京时间8月7日凌晨在美国内华达州拉斯维加斯召开。安恒信息总裁范渊率领安全技术达人们亲临现场,与来自世界各国的网络...

3638
来自专栏飞总聊IT

上周上市的大数据公司MongoDB的前生今世

声明:本文仅代表个人观点,和本人公司无关。 1 本文由本人在极客时间的专栏系列文章(4篇)总结而成。感谢极客邦允许我发表在公众号上。文章写得不够详细,分析也不够...

4887
来自专栏云计算D1net

在2018年需要了解的关键云安全技术

无论企业如何利用云存储和处理信息,都要避免将可访问性置于安全之上的冲动。企业需要将不断演进的欧盟法规作为数据安全和最佳实践的新标准。 云计算的应用将在2018年...

2808
来自专栏云计算D1net

如何选择最佳的托管服务供应商

选择一个企业级云管理服务供应商并非易事,由于市场不断增长,产品已经变得越来越复杂而详细,其后果是也是很明显的。如果企业要将数据中心的应用程序、计算和数据迁移到云...

3367
来自专栏企鹅号快讯

微信上线小游戏:对流量基础入口应用商店革命

游戏开发者可以在微信公众平台上查阅小游戏开发文档,下载最新版的开发者工具。 文|张淇 “小程序游戏以及后续其他大流量平台推出的H5类游戏,将会是所有游戏的必然配...

2065
来自专栏新智元

谷歌被爆强制追踪用户位置信息,以此获利高达954亿美元!

正如hCaptcha的创始人Eli-shaoul Khedouri所说:“大多数人都没有意识到,每次他们登录网站进行验证,点击那些小汽车的时候,他们正在帮助谷歌...

992
来自专栏云计算D1net

社交网络信息安全:规避云计算风险

云计算用在 BYOD 及社交网络这两种最新的、最热门的 IT 应用,特别会引起人们的注意,这是因为它们引起了新的安全问题。 第一个问题是: BYOD 为何会如此...

3586
来自专栏智能计算时代

物联网安全问题和障碍

物联网安全问题和障碍 ? IoT安全性 - 为什么我们需要保护物联网,我们看到安全是任何IoT系统绝对关键的组成部分。如果没有适当的安全性,脆弱的设备可能会威胁...

3044

扫码关注云+社区

领取腾讯云代金券